"내가 침해당했는지 어떻게 알지?" — 그 단서가 IOC(Indicator of Compromise)입니다. 의미와 종류, 활용법, 그리고 과신하지 말아야 할 이유까지 — 모두 방어 관점에서 살펴봅니다(공격 절차는 다루지 않습니다).
IOC의 주요 종류
"흔적이 어디에 남느냐"에 따라 넷으로 나뉩니다.
| 종류 | 예 | 어디서 대조하는가 |
|---|---|---|
| 네트워크 | 공격자 서버 IP/도메인, C2 URL | 방화벽 / 프록시 / DNS 로그 |
| 파일 | 악성코드 SHA-256 해시, 특징적 파일명 | EDR / 안티바이러스 / 파일 목록 |
| 호스트 | 의심스러운 레지스트리 키, 낯선 상주 프로세스 | OS 로그, 프로세스 목록 |
| 행위 | 이상한 시각/국가의 로그인, 갑작스러운 대량 트래픽 | 인증 로그, 트래픽 모니터링 |
IOC vs IOA — "흔적" vs "행위"
흔히 대비되는 것이 **IOA(Indicator of Attack)**입니다. 그 차이는 IOC의 강점과 약점을 동시에 보여줍니다.
IOC(Indicator of Compromise) = 결과의 흔적
- 이미 일어난 일의 증거(해시, IP)
- 알려진 악성과 기계적으로 대조 가능 — 빠름
- 하지만 공격자가 쉽게 바꿈(일회용)
- 본질적으로 사후 대응적
IOA(Indicator of Attack) = 진행 중인 행위
- 기법의 흐름: 권한 상승 → 측면 이동 → 탈취
- 실시간에 더 가깝게 잡아냄
- 흔적보다 바꾸기 어려움(공격의 본질이므로)
- 도입이 무거움 — 메커니즘 이해가 필요
공격자에게 각각이 얼마나 '바꾸기 쉬운가'(고통의 피라미드)
IOC 중에서도 공격자가 하나를 바꾸는 데 드는 노력 — 즉 당신이 그것을 잡았을 때 공격자가 얼마나 아픈가 — 는 천차만별입니다. 아래일수록 바꾸기 쉽고, 위일수록 어렵습니다.
그래서 해시와 IP 대조는 빠르게 작동하지만 빠르게 낡습니다. 기법(어떻게 공격하는가)을 이해할수록 방어가 더 오래 유효합니다.
소규모에서도 IOC 활용하기
전용 EDR이나 위협 인텔리전스 구독이 없어도, 할 수 있는 현실적 최소한이 있습니다.
신뢰할 수 있는 출처에서 IOC 얻기
로그와 의존성에 대조
적중 시 격리하고 조사
자신의 IOC를 기록하고 점검을 확대
본 사이트의 견해: IOC는 '불탄 뒤의 그을음' — 진짜 목표는 타지 않는 것
IOC 대조는 중요하지만, 그것은 불이 난 뒤의 그을음을 살피는 일입니다. 흔적이 보일 무렵이면 이미 침해당한 것입니다. 그래서 본 사이트는 IOC 대조를 점검 도구로 유지하면서, 무게는 타지 않는 설계에 둡니다: 최소 권한, 신속한 패치(CVE 모니터링), 피싱 저항 MFA, 그리고 시크릿을 절대 평문으로 저장하지 않기. 사후 대응적 흔적 대조에 기대는 방어는 늘 한 발 늦습니다. 흔적으로 "알아채는" 힘과 흔적이 존재하지 않게 "예방하는" 힘은 함께 굴려야 할 두 바퀴입니다.
다음으로 읽기
- 용어집: CVE란(구멍의 식별자) · 랜섬웨어란 · 피싱이란
- 복구: 백업과 복구 기초
FAQ
QIOC란 무엇인가요?
Indicator of Compromise의 약자로 — 이미 일어난 침해가 남긴 흔적입니다. 구체적으로: 의심스러운 파일의 해시, 공격자의 목적지 IP나 도메인, 악성 URL, 이상한 프로세스나 레지스트리 변경. 이를 알려진 악성 목록으로 보관하고 로그·기기와 대조해 침해의 징후를 찾습니다.
QIOC는 CVE와 어떻게 다른가요?
CVE는 '구멍이 어디 있는가'(취약점 식별자)이고, IOC는 '침해의 증거가 있는가'(공격의 증거)입니다. CVE는 패치할 대상이고, IOC는 이미 당했는지 확인하려고 점검하는 대상입니다. 순서: CVE로 구멍을 막고, 그다음 IOC로 흔적을 점검합니다.
QIOC만으로 방어할 수 있나요?
안 됩니다. IOC는 본질적으로 사후적이고, 공격자는 파일 해시와 IP를 값싸게 바꿀 수 있습니다. IOC 대조는 알려진 악성에 대한 마지막 점검으로 유용하지만, 진짜 방어는 타지 않는 설계(최소 권한, 신속한 패치, 피싱 저항 MFA)에 더해, 바꾸기 더 어려운 '행위'를 모니터링하는 것입니다.